Потенциальная угроза безопасности в феврале 2019 года: FAQ
ОБНОВЛЕНО: 13 февраля 2019 года, 11:00 (Cевероамериканское восточное время, EST)
(Перевод оригинальной версии текста, доступной здесь)
Что произошло?
8 февраля 2019 года наша команда веб-инженеров узнала о потенциальной угрозе безопасности, которая затронула некоторые данные профилей пользователей. Мы немедленно провели тщательную инспекцию наших систем, чтобы понять характер и масштаб этой проблемы. Мы привлекли к расследованию стороннего эксперта и сотрудничаем с правоохранительными органами в рамках решения этой проблемы.
На основании данных, полученных в ходе нашего расследования, мы можем сказать, что некая неуполномоченная на это сторона получила доступ к нашим системам и частично завладела данными пользователей приблизительно 5 июля 2018 года. Мы пришли к заключению, что эта проблема затронула некоторые данные пользователей, указанные ими при заполнении профилей, список таких данных приведен ниже. Наши инженеры пристально наблюдают за платформой и к настоящему моменту мы не нашли каких-либо доказательств повторного возникновения этой проблемы.
В качестве меры предосторожности мы сбрасываем пароли к учетным записям всех пользователей 500px. В уведомлении по электронной почте все пользователи, чьи данные были затронуты этой проблемой, получат инструкции по сбросу пароля.
В текущий момент во всей системе проходит сброс паролей для всех пользователей в порядке приоритетности с учетом потенциального риска, мы также принудительно сбросили все пароли, зашифрованные посредством алгоритма MD5.
Какой тип пользовательских данных был затронут в результате этой проблемы?
- Имя и фамилия, которые вы указали в 500px
- Ваше имя пользователя в 500px
- Адрес электронной почты, связанный с логином в 500px
- Хеш вашего пароля, который был захеширован с помощью одностороннего криптографического алгоритма
- Дата вашего рождения, если вы указали ее
- Ваш город, штат/область, страна, если вы указывали эту информацию
- Ваш пол, если вы указали его
Как узнать, что проблема затронула мои данные?
Если вы были пользователем до 5 июля 2018 года, то проблема коснулась ваших данных.
В настоящее время мы уведомляем наших пользователей по электронной почте, а также на сайте и посредством мобильных уведомлений, однако, учитывая число пользователей, затронутых этой проблемой, возможна задержка при получении уведомлений.
Независимо от того, была ли затронута конфиденциальность ваших данных, учитывая их персональный характер, мы сообщаем вам об этой проблеме, чтобы вы могли предпринять меры и защитить себя от фишинга, мошенничества, спама и другого неправомерного использования ваших данных в результате этой проблемы. Мы рекомендуем вам сменить пароль на других сайтах или в других приложениях, если вы использовали пароль, идентичный или схожий с вашим паролем для 500px.
Мне не приходило сообщение для сброса пароля
В настоящее время мы проводим работу по части оповещения всей базы пользователей, в порядке приоритетности с учетом потенциального риска. Однако, учитывая количество пользователей, затронутых этой проблемой, эта задача займет не менее одного дня. Пользователи могут получить сообщение о необходимости смены пароля в разное время. Если вы еще не получили такое сообщение, то мы советуем вам сбросить пароль, если вы еще не сделали этого.
Если вы в прошлом помечали сообщения от 500px как спам, то вы можете не получить уведомление по электронной почте. К сожалению, мы не способны решить такую проблему (обеспечить получение пользователями писем, помеченных как спам). Для этого вы должны внести сообщения от 500px.com в белый список, чтобы снова получать их на ваш текущий ящик электронной почты. Этот процесс может различаться в зависимости от используемого вами сервиса электронной почты.
Мой пароль уже сброшен. Мне нужно сбросить его еще раз?
Если вы сбросили пароль после 03:00 (Cевероамериканское восточное время, EST) 12 февраля, то вам не надо сбрасывать его повторно. Однако, если вы хотите, вы можете сделать это здесь.
Когда вы впервые узнали об этой потенциальной угрозе безопасности?
8 февраля наша команда инженеров узнала о потенциальной угрозе безопасности и немедленно приступила к расследованию этой проблемы.
Что было сделано для исправления этой проблемы?
- Учитывая характер персональных данных, затронутых этой проблемой, мы принудительно сбросили все пароли, зашифрованные по алгоритму MD5. Кроме того, мы проводим сброс паролей в масштабе всей системы.
- Мы тщательно проверили доступ к нашим серверам, базам данных и другим конфиденциальным сервисам хранения данных.
- Мы провели контроль и продолжаем контролировать исходный код нашей системы, как доступный для пользователей, так и предназначенный для внутреннего применения, чтобы защитить его от угроз безопасности.
- Мы вносим изменения в наш внутренний процесс разработки программного обеспечения.
- Мы продолжаем обновлять инфраструктуру нашей сети.
Если вы узнали об угрозе 8 февраля, то почему мне сообщили об этом только сегодня?
Для нас было важно обеспечить пользователей точной информацией перед публикацией подробностей этой потенциальной угрозе безопасности. Учитывая характер затронутых персональных данных, наши основные опасения и связанный с ними порядок приоритетности наших действий были направлены на:
1) обеспечение безопасности нашей системы,
2) защиту данных наших пользователей от дальнейших угроз и неправомерного доступа к учетным записям,
3) доведение точной информации до сведения наших пользователей перед публикацией сообщения о проблеме.
В настоящее время мы работаем над информированием всей нашей базы пользователей, в порядке приоритетности с учетом возможного риска. Однако, учитывая количество пользователей, затронутых этой проблемой, на это уйдет не менее одного дня. Хотя проблема и не коснулась пользователей, зарегистрированных после 5 июля 2018 года, мы хотим принять все необходимые меры предосторожности, чтобы обеспечить безопасность наших пользователей.
Какие данные не поступили в распоряжение третьих лиц?
К этому моменту у нас нет явных доказательств неавторизованного доступа к вашей учетной записи, у нас также нет свидетельств того, что проблема затронула другие данные, связанные с вашим профилем, такие как данные кредитных карт (мы не храним их на своих серверах), если вы использовали карту для покупок, или другая конфиденциальная личная информация.
Сообщили ли вы об этой проблеме в правоохранительные органы?
Мы сообщили о проблеме в правоохранительные органы, а также пригласили фирму по обеспечению безопасности помочь нам в расследовании и принятии следующих шагов.
Как мы можем быть уверенными в том, что такого больше не повторится?
Начиная с этого момента мы продолжим улучшать наши меры по обеспечению безопасности и внедрять дополнительные меры, способные предотвратить подобные случаи в будущем.
Мы продолжаем улучшать инфраструктуру нашей сети. За последние 12 месяцев мы провели крупное обновление инфраструктуры нашей сети, данный проект приближается к своему завершению и он значительно укрепит нашу безопасность.
Есть ли у вас мой пароль, если я вхожу в систему с помощью аккаунта в социальных сетях?
Если вы входите в систему через социальную платформу, то вы все равно можете вводить пароль на нашем сайте, но мы не храним ваши пароли для Google+, Facebook или других социальных сетей. При входе через учетную запись в социальной сети мы получаем сеансовый маркер, который хранится на наших серверах. Каждый раз, когда срок действия сеансового маркера истекает, мы просим вас вновь войти в систему через учетную запись в социальной сети.
Я хочу удалить свой аккаунт с 500px.
Учтите, что удаление аккаунта никак не повлияет на то, были ли ваши данные затронуты этой угрозой. Вы можете найти инструкцию по удалению аккаунта здесь: https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
В соответствии с нашей политикой конфиденциальности, мы можем сохранить ваши данные, если возникнет необходимость соблюсти определенные законодательные требования.
Как получить копию всех моих данных в 500px?
500px может выслать вам архив с вашими персональными данными по электронной почте. Сообщите нам на help@500px.com и мы выполним ваш запрос на получение данных в течение 72 часов после того, как наша команда подтвердит получение вашего сообщения электронной почты.
Мне не пришло письмо с инструкцией по сбросу пароля.
Если мы деактивировали ваш пароль, то вам придется сбросить его при попытке следующего входа в 500px. В ближайшие дни мы как можно скорее свяжемся с пользователями, чьи данные затронула эта проблема.
Ссылка в письме не работает.
Если мы деактивировали ваш пароль, то от вас потребуется сбросить его при следующей попытке входа в 500px. Мы рекомендуем вам сделать это как можно быстрее.
Зачем мне сбрасывать пароль/почему я не могу войти в систему?
Мы принимаем меры по обеспечению безопасности паролей и дополнительные шаги для защиты ваших личных данных. В качестве меры предосторожности мы требуем от всех пользователей 500px сбросить пароли для своих учетных записей.
Почему мне пришло несколько сообщений и ссылок для сброса пароля?
Вы могли получить несколько сообщений или ссылок для сброса пароля от 500px. Это могло произойти, потому что мы принимаем все возможные меры предосторожности для того, чтобы все пользователи узнали об этом инциденте.